+7 (812) 677-17-05

О легендарном взломе RSA

#

Тут недавно истёк срок действия NDA у сотрудников RSA Security, и они наконец-таки поведали о деталях легендарной атаки 2011 года. Атаки, напомню, очень ироничной: RSA всё-таки сама безопасностью занимается.

А почему легендарной? Потому что это была первая в мировой истории supply chain attack. Суть очень простая: не можешь вскрыть очень прочно защищённую компанию-цель — найди используемые ею продукты и вскрой их. Это сейчас такая история периодически повторяется (например, такое было с SolarWinds), а тогда — прямо настоящее новшество.

Если вкратце, хакеры вскрыли хранилище сидов. Эти сиды использовались для генерации 2FA-кодов в SecurID, основном продукте RSA. Учитывая, что среди пользователей десятки миллионов клиентов из банков, правительственных и военных агентств, крупных корпораций и иже с ними, получается довольно внушительно.

Безопасник RSA Тодд Литхэм первым заметил странного пользователя на сервере и заподозрил взлом. Его попытки помешать хакерам оказались безуспешными, как и все старания их после этого поймать. Злоумышленники ускользнули без следа, отобрав у RSA ценнейшие данные и репутацию. Оставили после себя только подозрения о том, что это был кто-то из киберразведки НОАК. Или нет?..

Началось всё с того, что один сотрудник RSA сидел под старыми Виндой и Офисом, а также не поставил никаких ограничений на установку подозрительных программ. И вот пришло этому сотруднику, жившему в век до современных ИБ-тренингов, безобидное письмо на почту… Исход вполне очевиден. С компьютера взломанного сотрудника хакеры извлекли учётные данные, а затем использовали их для входа в другие машины. Так и перебирали, пока не добрались до админских данных, а затем — до сервера с данными сотен пользователей.

За хакерами инженеры RSA буквально ходили по пятам, за пару минут выключая любые системы, в которые те пытались проникнуть. Впрочем, главную ценность компании, которая почти наверняка была и основной целью хакеров, защитить всё равно не смогли: хранилище сидов. Теперь нужно было заменить 40 миллионов токенов.

Около 90 сотрудников, включая топ-менеджмент, начали обзванивать всех клиентов, среди которых, напоминаю, сплошь спецслужбы, крупные корпорации и банки. Клиентов этот хаос сводил с ума не меньше, чем саму RSA. По офису медленно расползалась подлинная паранойя, красившая стены в жёлтый. Компания сменила оператора связи, с подозрением косилась на телефоны и предпочитала им бумажные документы с личными встречами, а также проверяла биографии сотрудников. Некоторые руководители покрыли окна обёрточной бумагой, защищаясь от воображаемых лазерных микрофонов. Наконец, провели цифровой карантин — отформатировали диски на всех машинах, которых коснулись хакеры.

Через два месяца выяснилось, что из-за украденных токенов взломали Lockheed Martin. На минуточку, напоминаю, крупнейший в мире военно-промышленный комплекс, обеспечивающий американскую армию. За ними стали жертвами взлома ещё несколько оборонных подрядчиков в США.

Какие выводы можно сделать? Один из главных героев этой печальной истории, безопасник RSA Тодд Литхэм, резюмировал её вполне ёмко: "Мир — карточный домик перед началом торнадо". Хрупкий и ломкий, он начисто разлетается, если вытянуть стоящую в его основании карту. Тем хуже для тех, кто слепо верил той карте и видел в ней в твёрдую почву.

29.06.2021 Новости
Читайте все свежие новости первыми. Подписывайтесь на нас в Telegram
Том Хантер Том Хантер Pentest Guru

Мистер Том Хантер, вдохновитель нашей компании по обеспечению кибербезопасности

Спасибо

Спасибо, что заполнили форму! Мы свяжемся с вами в ближайшее время по указанным контактным данным!

Обратный звонок

Заполните форму и наш специалист свяжется с вами в ближайшее время.

    Принимаю соглашение об использовании персональных данных